V minulém čísle jsme čtenáře informovali v obecné rovině o nové úpravě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR. Dnes bychom chtěli čtenáře blíže informovat o některých povinnostech správců a zpracovatelů osobních údajů, které pokládáme za vhodné a který dotčeným subjektům dovolí promyslet, zda a v jakém rozsahu bude třeba zpracování jimi prováděné podrobit novým, resp. staro-novým pravidlům. Účelem tohoto příspěvku je, jinými slovy, napomoci při základní orientaci v nařízení.
Stručně a přehledně k obecnému nařízení o ochraně osobních údajů (GDPR)
JUDr.
Eva
Benešová
LL.M.
advokátka, Nezkusilová – Benešová, advokátní kancelář
Níže uvedený text shrnuje vybrané podstatné pasáže nařízení, kterým doporučujeme věnovat pozornost. Předesíláme, že zdaleka ne veškeré nařízením upravené (a námi uvedené) povinnosti dopadají na všechny správce či zpracovatele osobních údajů. Dělícím kritériem je v tomto smyslu zejména povaha správce údajů, rozsah zpracovávaných osobních údajů a jejich kategorie (v případě zpracování tzv. citlivých údajů je úprava přísnější). K úvaze, zda ta která povinnost dopadá i na vás, doporučujeme v prvé řadě zmapovat faktickou situaci zpracování osobních údajů (dále jen „OÚ“). Provedení počáteční analýzy spočívá v zodpovězení základních otázek:
–
jaké údaje se zpracovávají,
–
v jakém rozsahu,
–
za jakým účelem,
–
na základě jakého právního titulu a
–
jakým způsobem (co se s údaji provádí, kam se zařazují, kde se ukládají, kam se zasílají, komu se poskytují, jak dlouho se uchovávají a podobně).
Přiložený text prosím vnímejte jako stručný přehled povinností uložených správcům a/nebo zpracovatelům osobních údajů, který může posloužit jako další zdroj informací při seznamování se s GDPR.
Informační povinnost správce vůči subjektům údajů (čl. 12 až 22)
Správce údajů má vůči subjektům údajů širokou informační povinnost, zejména je povinen informovat subjekty o všech jejich právech:
–
právo na přístup k osobním údajům,
–
opravu osobních údajů,
–
výmaz osobních údajů (právo být zapomenut),
–
omezení zpracování,
–
přenositelnost údajů,
–
odvolání souhlasu se zpracováním osobních údajů,
–
podání stížnosti u dozorového úřadu.
Správce tak může učinit v rámci smlouvy či v jiném odděleném dokumentu dostupném na webových stránkách či jinde (a pojmenovaném např. „Zásady zpracování osobních údajů“ apod.).
Správce musí být připraven na uplatnění jednotlivých shora uvedených práv subjektů údajů, a to jak administrativně, tak technicky.
Správce je povinen poskytnout subjektu informace o přijatých opatřeních bez zbytečného odkladu, nejpozději do jednoho měsíce od žádosti, lhůtu lze v odůvodněných případech prodloužit o 2 měsíce (čl. 12).
Vedení záznamů o činnostech zpracování správci a zpracovateli (čl. 30)
Vedení těchto záznamů lze doporučit i správcům a zpracovatelům, kteří k tomu nejsou dle nařízení povinni. Jako základ záznamů o činnostech zpracování mohou posloužit informace nyní uváděné do oznámení o zpracování (§ 16 zákona č. 101/2000 Sb.). Počet vedených záznamů o činnostech zpracování má odpovídat počtu účelů zpracování; je-li zpracováváno více druhů OÚ pro jeden účel, budou všechny OÚ uvedeny v jednom záznamu. Naopak při zpracování OÚ pro vícero účelů je třeba vést záznam pro každý jednotlivý účel odděleně (účel/y zpracování je třeba vymezit maximálně detailně). Lze doporučit vést odděleně záznamy o činnostech zpracování citlivých údajů, tj. zvláštní kategorie osobních údajů (čl. 9) a zbylých, „běžných“ OÚ.
Záznamy o činnostech zpracování musí obsahovat:
–
jméno a kontaktní údaje správce; příp. kontaktní údaje pověřence pro ochranu OÚ (viz níže);
–
účel zpracování (např. uchování pro účely splnění uzavřené smlouvy);
–
typ osobních údajů (např. jméno, příjmení, e-mailová adresa aj.);
–
určení subjektů údajů (např. zákazník,
klient
, zájemce o zprostředkování prodeje bytu aj.);–
popis přijatých bezpečnostních a organizačních opatření (čl. 32), (např. uschované v elektronické podobě, opatřené heslem, k OÚ má přístup omezený počet zaměstnanců dle interní směrnice);
–
údaje o případném předání OÚ do třetí země;
–
jmenný seznam příjemců OÚ (např. Česká Pošta, DHL, apod.); Dochází-li v seznamu příjemců k častým změnám, lze
eventuálně
vystačit s uvedením kategorie příjemců OÚ (např. zpracovatelé poskytující přepravní služby);–
dobu uchování OÚ; Tu lze vymezit i obecněji (OÚ uchovány po dobu plnění smlouvy, po dobu eventuálního vymáhání právních nároků).
Kontrola a revize smluvní dokumentace
Správce je odpovědný za existenci smluv se zpracovateli (smlouva musí být písemná a musí splňovat požadavky dle čl. 28). Zpracovatelem je každá osoba, která zpracovává osobní údaje pro správce (např. externí účetní, poskytovatel cloudových služeb, přepravní společnosti, aj.). Správci se doporučuje provést revizi obsahu jiných smluv (kupní smlouvy, smlouvy o dílo, příkazní a jiné).
Kontrola obsahu souhlasů se zpracováním OÚ (čl. 7), příp. souhlasů zákonného zástupce za dítě
Souhlasy musí splňovat požadavky dle čl. 7 nařízení. Souhlasy získané za stávající právní úpravy (zákon č. 101/2000 Sb.) zpravidla neobstojí.
Příprava opatření, směrnice či řádu, který stanoví pravidla zacházení s OÚ, upraví postupy v případě úniku či zneužití OÚ
Návrh části obsahu: povinnost mlčenlivosti, povinnost zpracovávat OÚ v souladu se zásadou zákonnosti, užívat je jen k účelům, pro které byly poskytnuty, povinnost spolupracovat s pověřencem pro ochranu OÚ (existuje-li), povinnost uzamykat úschovní prostory, povinnost používat hesla na PC, nenahrávat soubory na flash disk, a to ani při přesunu v rámci zaměstnavatele, nestahovat nebezpečné či neověřené soubory, okamžitě ohlásit porušení ochrany OÚ příslušné osobě apod.).
Uvedená opatření lze zapracovat i do jiných dokumentů (pracovních smluv, nájemních smluv, aj.).
Lze doporučit pojmout dokument i jako výčet ochranných opatření přijatých správcem k zabránění porušení zabezpečení OÚ (opatření dle čl. 32 a jiná), stanovit postup při porušení zabezpečení OÚ (komu nahlásit, jak dál postupovat).
Pravidla provozování kamerového systému je třeba zanést do odděleného provozního řádu.
Pověřenec pro ochranu OÚ (čl. 37)
Při jmenování pověřence pro ochranu OÚ je třeba zkontrolovat ne/naplnění podmínek dle čl. 37 odst. 1 písm. a) až c).
Pověřence je nutné jmenovat při „rozsáhlém, pravidelném a systematickém monitorování subjektů údajů“
–
a to vždy, pokud správce (např. provozující e-shop) sleduje chování zákazníka na webu (na jaké zboží se dívá, v jaké fázi se nachází proces nakupování apod.) a následně je vyhodnocuje a dle výsledku nabízí zákazníkům vhodné zboží či služby,
–
nebo např. zpracovatel, který je poskytovatelem věrnostních programů a který má přístup k OÚ členů programu (např. TESCO Club card), sleduje chování zákazníka (dle nakupovaného zboží mu např. nabízí slevy, apod.).
Budou-li naplněny shora uvedené podmínky, má povinnost jmenovat pověřence správce i zpracovatel.
Postup při porušení zabezpečení OÚ (čl. 33 a 34)
V prvé řadě je vždy třeba porušení zaznamenat, kdy doporučujeme v interních dokumentech upravit postup, jak v takovýchto případech postupovat, tedy i jak zaznamenat samotné porušení.
V dalším kroku uvážit, zda je nutné jej ohlásit, jelikož pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, správci povinnost ohlášení porušení odpadá.
Správce má pak povinnost
–
ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení, do 72 hodin od porušení,
–
oznamovat případy porušení zabezpečení osobních údajů samotnému subjektu údajů dle čl. 34 nařízení.